Sicherheitslücken bei 95 Prozent aller SAP-Systeme
SAP-Security-Spezialist Onapsis hat die drei häufigsten Vorgehensweisen bei Cyberattacken auf SAP-Anwendungen ermittelt. Diese Angriffsvektoren setzen geistiges Eigentum, Finanz-, Kreditkarten-, Kunden- und Lieferantendaten sowie in Datenbanken gespeicherte Informationen der weltweit größten Unternehmen einem hohen Risiko aus.
Für ihre Studie untersuchten die Onapsis Research Labs Hunderte von SAP-Installationen. 95 Prozent dieser SAP-Systeme wiesen Schwachstellen auf, über die Hacker vollständigen Zugriff auf die Geschäftsdaten und -prozesse der betroffenen Unternehmen erlangen können.
18 Monate, bis ein Patch implementiert ist
Darüber hinaus haben die Forscher herausgefunden, dass es bei den meisten Unternehmen 18 Monate oder länger dauert, bis Patches für gefundene Schwachstellen implementiert werden.
Allein im Jahr 2014 hat SAP 391 Sicherheitspatches veröffentlicht – im Durchschnitt also mehr als 30 pro Monat! Nahezu 50 Prozent dieser Patches hat SAP mit einer hohen Priorität eingestuft.
Wer ist zuständig?
„Das Thema SAP-Cyber-Security wird von vielen Unternehmen nicht ernsthaft genug verfolgt, da nicht geklärt ist, wer dafür zuständig ist – das SAP-Betriebsteam oder das IT-Sicherheitsteam. Dies hat uns wirklich überrascht“
sagt Mariano Nunez, CEO und Gründer von Onapsis.
Die meisten eingespielten Patches sind nicht sicherheitsrelevant, kommen verspätet oder öffnen neue Schwachstellen für den Betrieb des SAP-Systems. Jeden Tag werden neue Datenlecks bekannt, ohne dass Chief Information Security Officers (CISOs) davon erfahren – weil ihnen die Visibility für ihre SAP-Anwendungen fehlt.
Die drei häufigsten SAP-Attacken
- Bedrohungen von Kunden- und Kreditkarteninformationen, die den Austausch zwischen SAP-Systemen ausnutzen: Die Angriffe setzen an einem System mit niedrigen Sicherheitseinstellungen an und hangeln sich zu einem geschäftswichtigen System vor, indem sie fernsteuerbare Funktionsmodule im Zielsystem ausführen.
- Attacken auf Kunden- und Lieferantenportale: Dazu werden Backdoor-Anwender im SAP-J2EE-Benutzermanagement-Modul erzeugt. Durch das Ausnutzen einer Schwachstelle können die Hacker Zugriff auf SAP-Portale und Prozessintegrations-Plattformen sowie die damit verbundenen internen Systeme erlangen.
- Angriffe auf Datenbanken über proprietäre SAP-Protokolle: Für diese Attacke werden Betriebssystembefehle mit den Rechten bestimmter Benutzer ausgeführt und Schwachstellen im SAP RFC Gateway ausgenutzt. Der Hacker erhält Zugriff auf jede in der SAP-Datenbank gespeicherte Information und kann diese verändern.
Fazit
„Die Echtzeit-Datenbank Hana verschlimmert die Situation sogar noch. Die Zahl neuer Sicherheitspatches, die speziell diese neue Plattform betreffen, hat um 450 Prozent zugenommen.
Hinzu kommt, dass Hana als Kernkomponente im Zentrum des SAP-Ökosystems platziert ist. Daten, die in den SAP-Plattformen gespeichert werden, müssen nun sowohl in der Cloud als auch im Unternehmen geschützt werden“, führt Nunez aus.
Aktionsplan für Chief Information Security Officers (CISO)
Unternehmen, die geschäftswichtige Prozesse über Lösungen der Business Suite betreiben, sollten unbedingt die neuesten SAP-Sicherheitshinweise befolgen. Sie sollten zudem sicherstellen, dass ihre Systeme korrekt konfiguriert sind, um geltende Compliance-Anforderungen zu erfüllen und das Sicherheitsniveau zu erhöhen. Diese Aktivitäten sollten einem Aktionsplan folgen, der SAP-Cyber-Security als Teil der Unternehmensstrategie und -Roadmap etabliert:
- Visibility in SAP-basierten Komponenten realisieren, um gefährdete Werte zu identifizieren.
- Vorsorge vor Sicherheits- und Compliance-Problemen durch kon- tinuierliche Überwachung treffen.
- Neue Bedrohungen, Angriffe und anomales Benutzerverhalten als Gefährdungsindikatoren (Indi- cators of Compromise, IOC) er- kennen und mit geeigneten Maß- nahmen darauf reagieren.
DE
EN
ES
